Dela via

Planera för nätverkssegmentering i landningszonen

  • Artikel

I det här avsnittet beskrivs viktiga rekommendationer för att leverera mycket säker intern nätverkssegmentering inom en landningszon för att driva ett nätverk Nulta pouzdanost implementering.

Utformningsbeaktanden

  • Den Nulta pouzdanost modellen förutsätter ett överträdt tillstånd och verifierar varje begäran som om den kommer från ett okontrollerat nätverk.

  • En avancerad Nulta pouzdanost nätverksimplementering använder fullständigt distribuerade mikroperimeter för inkommande och utgående moln och djupare mikrosegmentering.

  • Nätverkssäkerhetsgrupper (NSG:er) kan använda Azure-tjänsttaggar för att underlätta anslutningen till PaaS-lösningar (Plattform som en tjänst).

  • Programsäkerhetsgrupper (ASG: er) omfattar inte eller ger skydd över virtuella nätverk.

  • Använd NSG-flödesloggar för att inspektera trafik som flödar genom en nätverkspunkt med en NSG ansluten.

  • Flödesloggar för virtuella nätverk ger funktioner som liknar NSG-flödesloggar, men som täcker ett bredare spektrum av användningsfall. De förenklar även omfattningen för trafikövervakning eftersom du kan aktivera loggning på virtuell nätverksnivå.

Designrekommendationer

  • Delegera skapande av undernät till landningszonens ägare. Detta gör det möjligt för dem att definiera hur arbetsbelastningar ska segmenteras mellan undernät (till exempel ett enda stort undernät, ett program med flera nivåer eller ett nätverksinmatat program). Plattformsteamet kan använda Azure Policy för att säkerställa att en NSG med specifika regler (till exempel neka inkommande SSH eller RDP från Internet eller tillåta/blockera trafik mellan landningszoner) alltid är associerad med undernät som endast har principer för nekande.

  • Använd NSG:er för att skydda trafik över undernät samt trafik mellan öst och väst över plattformen (trafik mellan landningszoner).

  • Programteamet bör använda programsäkerhetsgrupper på NSG:er på undernätsnivå för att skydda virtuella datorer på flera nivåer i landningszonen.

    Diagram som visar hur programsäkerhetsgruppen fungerar.

  • Använd NSG:er och programsäkerhetsgrupper för att mikrosegmentera trafik inom landningszonen och undvik att använda en central NVA för att filtrera trafikflöden.

  • Aktivera flödesloggar för virtuella nätverk och använd trafikanalys för att få insikter om inkommande och utgående trafikflöden. Aktivera flödesloggar på alla kritiska virtuella nätverk och undernät i dina prenumerationer, till exempel virtuella nätverk och undernät som innehåller Windows Server Active Directory-domänkontrollanter eller viktiga datalager. Dessutom kan du använda flödesloggar för att identifiera och undersöka potentiella säkerhetsincidenter, efterlevnad och övervakning samt för att optimera användningen.

  • Använd NSG:er för att selektivt tillåta anslutning mellan landningszoner.

  • För Virtual WAN-topologier dirigerar du trafik över landningszoner via Azure Firewall om din organisation kräver filtrerings- och loggningsfunktioner för trafik som flödar över landningszoner.

  • Om din organisation bestämmer sig för att implementera tvingad tunneltrafik (annonsera standardväg) till en lokal plats rekommenderar vi att du införlivar följande utgående NSG-regler för att neka utgående trafik från virtuella nätverk direkt till Internet om BGP-sessionen skulle ta slut.

Kommentar

Regelprioriteringar måste justeras baserat på din befintliga NSG-regeluppsättning.

Prioritet Name Källa Mål Tjänst Åtgärd Anmärkning
100 AllowLocal Any VirtualNetwork Any Allow Tillåt trafik under normal drift. Med tvingad tunneltrafik aktiverad 0.0.0.0/0 betraktas den som en del av taggen VirtualNetwork så länge BGP annonserar den till ExpressRoute eller VPN Gateway.
110 DenyInternet Any Internet Any Deny Neka trafik direkt till Internet om 0.0.0.0/0 vägen dras tillbaka från de vägar som annonseras (till exempel på grund av ett avbrott eller felkonfiguration).

Varning

Azure PaaS-tjänster som kan matas in i ett virtuellt nätverk kanske inte är kompatibla med tvingad tunneltrafik. Kontrollplansåtgärder kan fortfarande kräva direkt anslutning till specifika offentliga IP-adresser för att tjänsten ska fungera korrekt. Vi rekommenderar att du kontrollerar den specifika tjänstdokumentationen för nätverkskrav och slutligen undantar tjänstundernätet från standardflödets spridning. Tjänsttaggar i UDR kan endast användas för att kringgå standardvägs- och omdirigeringskontrollplanets trafik, om den specifika tjänsttaggen är tillgänglig.